RSA Summit - Frodi online e Cybercrime.pptx

Transcript

Frodi online e
Cybercrime
Cosa li accomuna e come mitigarli
Giovanni Napoli - RSA Pre-Sales Manager
Rusudan Losaberidze - RSA Fraud Risk Intelligence Specialist
@RSAItalia
© Copyright 2014 EMC Corporation. All rights reserved.
1
La cruda realtà del software engineering
  Non e’ possibile dimostrare la correttezza formale di
un software
  Semplici contesti informatici a volte mal si prestano
ad essere modellati e validati matematicamente
  Dobbiamo imparare a convivere con vulnerabilita’
che hanno un elevato rapporto costi/benefici
Rischio = Minaccia x Vulnerabilità x Impatto
@RSAItalia
2
Scarsa progettazione software
diventa feature
@RSAItalia
3
diventa feature
<a href="http://i.imgur.com/b7sajuK.jpg/KittyViewer.exe" download>What a cute kitty!</a>
<a href="http://i.imgur.com/b7sajuK.jpg" download="KittyViewer.exe">What a cute kitty!</a>
Provatelo ad esempio con Internet Explorer e Chrome…
@RSAItalia
4
diventa feature
Carenza di requisiti che guidano software
a supporto di processi aziendali
@RSAItalia
5
Un grave esempio: Heartbleed
Che cos’é?
  Un bug in OpenSSL
–  OpenSSL dalla 1.0.1 fino alla 1.0.1f sono vulnerabili
–  OpenSSL 1.0.1g NON e’ vulnerabile
  Un banale errore di programmazione
Fix
Bug
OR
à At recompile time
  Il bug e’ probabilmente presente fin da marzo 2012
@RSAItalia
6
Quali sono gli impatti?
  Un server affetto dalla vulnerabilità è soggetto a perdite
di dati sensibili tra i quali:
–  Password
–  User Login
–  SSL Private Key
  Un certificato SSL Server è pubblico. Se un attacker
possiede la chiave privata associata, la sola cosa che
manca è un semplice attacco DNS
  Bug exploit che non lascia traccia…
@RSAItalia
7
Come funziona?
SERVER SEI ANCORA LI?
SE CI SEI, RISPONDI CON PATATE (6 LETTERE)
Alice vuole queste 6 lettere:
PATATE
PATATE
PATATE
@RSAItalia
8
Come funziona?
SE CI SEI, RISPONDI CON MELE (4 LETTERE)
Alice vuole
queste 4 lettere:
MELE
queste 4 lettere:
MELE
Alice vuole
MELE
@RSAItalia
9
Come funziona?
SE CI SEI, RISPONDI CON BINGO (500 LETTERE)
BINGO
BINGO
BINGO
VIENE DIFATTI FORNITO
UN PACCHETTO DI RISPOSTA DI 500 BYTE!!!
@RSAItalia
10
Heartbleed in ambito frodi e cybercrime
Ricordiamoci sempre le motivazioni degli attacker…
Ambito frodi
Ambito cybercrime
Catastrophic…
…Up to 11
• 
Intercettare comunicazioni private
• 
Phishing
• 
Impersonare utenti e servizi
• 
Collezionare indirizzi email, login,
password
• 
Rubare dati sensibili senza la
necessità di avere privilegi particolari
@RSAItalia
11
Come mitigare attività di cybercrime
Identity/Access/Role Based Employee Context
ASSET DATA
CONFIG DATA
VMS DATA
Site Assessment
INTEL
INTEL
INTEL
INTEL
SOC/CIRC Single UI
Vulnerability
Management
CO
NTE
XT
T
TEX
CON
IPS
DLP Scans
CONTEXT, NEW INTEL
Security Monitoring &
Analytics
IPS
WEB
CON
TEX
T
Host Scan Link
Link to Packet
Link to SIEM
ALERTS, THREATS
AV
Business
Continuity
BIA
Incident
Management
Dashboard
Metrics
Reports
Log Capture
& Analysis
Full Packet
Capture &
Analysis
RSA
Solution
Capabilities
TS
LER
TS/A ECTION
N
E
EV
DET
UD
FRA
Portal
Security
ID Verification
Multi-Factor Audit
Fraud Detection
Federation
INTEL
COMMUNITY INTEL
FW
@RSAItalia
12
Target Data Breach: Approccio RSA
 
L’attacco ha sfruttato la debolezza di un
Partner
 
Target si è perso gli alert di difesa
perimetrale
 
L’attacker ha sfruttato la debolezza dei
controlli per espandere il suo perimetro
d’azione
 
Target si è perso anche gli eventi legati
all’asportazione dei dati aziendali
 
Avrebbe
forse potuto
disporre di un
Mai dimenticare:
“Intelligence
is efficace
King,
framework
Governance Risk e Compliance
Context forse
is di
Queen”
Avrebbe
Target potuto integrare
avere a
per manutenere
tuttileed
i soli controlli
di
– 
Monitorare
sorgenti
diilintelligence
informazioni
di intelligence
con
proprio sulle
disposizione
un
framework
di
Vendor/Partner
sicurezzacyber
necessari?
Avrebbe forse potuto
threats
contesto
aziendale/operativo
e di business
al
assessment
per assicurare regolari
ed
disporre
di
piu’ efficaci
strumenti
– 
Collezionare
informazioni
di di
intelligence
fine
di prioritizzare
meglio
gli ealert
ed
adeguati
livelli di compliance
di
risk
investigazione,
di capacità di integrazione di
rilevanti
effettuare
una
piu’
efficace
assessment
sulle
terze
partiinvestigazione
con le quali
informazioni
di intelligence
e ditecniche
maggiore
Identificare
attori (TA),
utilizzate
delle– anomalie…?
solitamente
collabora…?
(TTP)
competenza
del proprio personale o dei propri
consulenti…?
– 
Comunicare tali informazioni agli
Stakeholder interni ed esterni alla nostra
Azienda
– 
Integrare le informazioni di intelligence
all’interno della nostra infrastruttura ed
organizzazione IT
xxx
yyy
yyy
@RSAItalia
13
Intelligence Driven Security
@RSAItalia
14
Il Phishing Ti Trova Ovunque Sei…
@RSAItalia
15
Malware «Versatili» e «Ibridi»
Malware
Tipi di Attacchi
Citadel
-  Frodi online banking
-  Attacchi sulla
sicurezza
aeroportuale
-  Spionaggio politico
-  …
Zeus
-  Frodi online banking
-  Spionaggio industriale
-  …
Chewbacca
-  Attacchi
sull’infrastruttura POS
@RSAItalia
16
Anatomia di e-Frode basato su Malware
Infezione
Evoluzioni Recenti
• Pharming / Phishing
• Social Engineering
• Installazione /
configurazione
malware
Interazione •  HTML Injection
con Utente o •  MiT(M|B|Mo)
Abuso Logica •  Abuso logica
Business
business
• 
Automated
Transfer Systems
(ATS) - attacchi
server side
invisibili e veloci
• 
Evoluzione di
attacchi da
consumer banking
al corporate e
private banking.
• 
Eliminazione
dell’evidenza dopo
l’esecuzione di
una frode
• Credenziali
Furto delle • Carte di credito
Informazioni
• Dati personali
Utilizzo delle
Informazioni
Rubate
•  Trasferimento
fraudolento dei fondi
•  Ricariche telefoniche
•  Transazioni online
17
Proteggersi dalle Frodi in Evoluzione
Infrastruttura Tecnica
Infrastruttura Operativa
Command
& Control
Infection
Point
Mule
Accounts
Mule DB
Drop
Points
InfoSec
Frodi
Minacce Pre-Autenticazione
Minacce Post-Authenticazione
Login
Transazione e Logout
Adaptive Auth & Transaction Monitoring
Inizio della Sessione Web
eFraudNetwork
Web Session Monitoring & End to End Visibility
Vulnerability Probing
Rogue Mobile Apps
Site Scraping
DDOS Attacks
Phishing Attacks
Trojan Attacks
Parameter Injection
New Account
Registration Fraud
Promotion Abuse
Man In The Browser
Account Takeover
Unauthorized Account Activity
Password Guessing
Access From High Risk Country
High Risk Checkout
Fraudulent Money Movement
Man In The Middle
18
Analisi Comportamentale è Essenziale
I criminali si comportano diversamente da utenti legittimi
Add Bill Payee
•  Velocità
•  Sequenza delle pagine
•  Origine
•  Contesto
•  Comportamento
Enter Pay Amount
Sign-in
Bill Pay Home
Select Bill Payee
Submit
My Account
Homepage
View Checking
Checking Account
19
Il Processo di Gestione delle Frodi
Raccolta Dati
Inserimento del
sistema antifrode nel
contesto e
istruzione alla
raccolta, analisi
e storicizzazione
dei dati utili
all’analisi, al fine
di identificare
comportamenti
sospetti
Rilevazione
Frodi
Rilevazione ed
analisi delle
transazioni
anomale con
l’obiettivo di
accertare le
frodi
minimizzando i
falsi negativi e
i falsi positivi
Comunicazione
Gestione del
contatto con
l’utente finale,
accertamento
della frode,
analisi impatto
business,
valutazione
delle risposte
alternative
all’incidente.
Risposta
Valutazione ed
esecuzione di
una risposta
efficace
all’incidente
(manuale o
automatica).
Feedback
Attivazione dei
meccanismi di
feedback e
fine-tuning con
l’obiettivo di
prevenire
attacchi simili.
Aggiornamento
delle politiche e
procedure
relative alla
gestione delle
frodi.
@RSAItalia
20
Automazione del Processo di Gestione
delle Frodi con RSA Web Threat Detection
Raccolta Dati
Richiesta
Pagina
Header
HTTP
POST/GET
Variabili
—
—
—
—
—
Threat Score
0-100
Rilevazione
Frodi
Man in the Middle
Man in the Browser
Comportamento
Velocità
Parametri
Utenza
Cookie
IP
Visibilità Completa delle
Sessioni e del Clickstream
Motore di Regole
Forensic Dashboard
One Click Investigation
Deep Inspection
Rules Fine Tuning
Comunicazione
Risposta
Automatica
IP —
Utenza—
Pagina—
— IP
— Utenza
— Pagina
Allarmi in
Tempo Reale
Interfaccia Utente di
Web Threat Detection
SIEM
CM Email LB WAF
@RSAItalia
21
Tipologie di Anomalie e Frodi Rilevate
Furto delle Credenziali e
Account Takeover / Man-in-the-Middle
Accesso simultaneo alla stessa utenza da
due luoghi geografici o paesi distanti
Accesso simultaneo a utenze multiple
dall’unico IP in un breve arco temporale
User agent ad alto rischio
Cambiamenti profilo
Cambiamenti degli IBAN dei beneficiari
§ 
§ 
§ 
§ 
§ 
Minacce Specifiche
§  Tentativi di accesso a utenze multiple
§  Tentativi consecutivi falliti di accesso alla
stessa utenza
§  Man-in-the-Browser, Man-in-the-Middle, etc
§  Utilizzo anomalo del sito e site defacing
§  Attacchi DDoS, Site Scraping, Architecture
Probing, etc
Monitoraggio delle Anomalie
di Bonifici / Pagamenti Bancari
§ 
§ 
§ 
§ 
§ 
Visibilità completa dettaglio dei pagamenti
Modifica fraudolenta di bonifici
Pagamenti esteri verso paesi ad alto rischio
X
Pagamenti a mule account
§  Y
§  Z
Frodi e-Commerce & Trading
§ 
§ 
§ 
§ 
§ 
Nuovi Merchant – «Smash & Grab»
Vendita sotto costo
Abuso delle promozioni / buoni d’acquisto
Pump & Dump delle azioni
Monitoraggio di segmenti business ad alto
rischio
Frodi e-Government
§  Furto dei benefit
§  Accesso inappropriato ai fondi pubblici
§  Furto delle informazioni private / furto
dell’identità
Frodi Online Gaming
§ 
§ 
§ 
§ 
§ 
Collusioni
Riciclaggio di denaro
Falsi reclami
Apertura di account falsi
Abuso di bonus di iscrizione
22
Frode Online Banking
1. 
Utente si collega da Bari alle ore 8.30
2. 
6 ore più tardi avviene l’autenticazione alla stessa utenza da Pantigliate,
MI con un user agent string diverso (postazione diversa)
3. 
Utente di Pantigliate accede al menu dei bonifici italiani, sceglie un
contatto Italiano, modifica solo IBAN ed effettua un bonifico con un IBAN
estero e i dati del beneficiario italiani
4. WTD rileva l’inserimento di
un IBAN estero per un contatto
Italiano e genera un alert.
23
Frode Online Banking
•  È stata eseguita una
procedura batch con
280,000 istruzioni di
pagamento
•  Con l’ammontare
medio di pagamento
di $10, il valore totale
di frode era di
$2800000
•  WTD ha rilevato
pagamenti multipli
nell’arco temporale
ridotto con un valore
aggregato elevato.
@RSAItalia
24
Frode Online Gaming
•  55 transazioni nell’arco di 17 minuti
postati alla pagina ‘Pay Complete’
•  Singolo indirizzo IP
•  Acquisto con buoni gioco
•  Valore medio acquisto ~6,400
•  Spesa totale ~300,000
Acquisto con buono gioco di 6,400 USD
@RSAItalia
25
Frode e-Commerce
• 
Sessione Normale
• 
• 
• 
Durata: 15+ Minuti
Numero di Click: 25+
Sessione Fraudolenta
• 
• 
Durata: < 3 minutes
Numero di Click: 12
• 
Aggiunta di un nuovo indirizzo
di spedizione
• 
Acquisto di spedizione celere
( 2 giorni)
@RSAItalia
26
Approccio Olistico alla Sicurezza e alle Frodi
• 
• 
• 
• 
• 
Governance
Analisi dei rischi
Monitoraggio di incidenti
Mitigazione dei rischi
Tracciamento delle attività
• 
• 
• 
• 
Educazione
Comunicazione
Limiti e notifiche
Accesso allo stato dei
pagamenti
• 
• 
• 
• 
• 
• 
Identificazione dei clienti
Autenticazione forte
Provisioning degli strumenti
di authenticazione
Tentativi falliti, time-out delle
sessioni, validità di
autenticazione
Monitoraggio di transazioni
Protezione dei dati sensibili di
pagamento
@RSAItalia
27
@RSAItalia

RSA Summit - Frodi online e Cybercrime.pptx

Transcript

Documenti analoghi

The Heart Asks Pleasure First - Spartiti Pianoforte

Usa la forza per muoverti nel labirinto di Darth Vader. Con la forza

The more you know the better you do

Industrial Internet of Things 101

CeBIT 2008 Holbe Dialogue Europe - Flybook

Ultima.Ruota.Del.Carro

Scarica la nostra presentazione - Roma

Soluzioni di modernizzazione Remote I/O

Scarica la presentazione

PATTERN CARD 6.24 “NECESSAIRE SEWING BAG” Modello della